帐户盗用是什么?
平均每个人都需要几十个在线帐户,来访问个人和企业网站、应用程序和系统。帐户盗用攻击(顾名思义)试图获得这些帐户的访问权,允许攻击者窃取数据、传送恶意软件或者将帐户的合法访问权和权限用于其他恶意目的。
帐户盗用是如何发生的?
为了实现帐户盗用攻击,攻击者需要访问目标帐户的身份验证信息——如用户名和密码组合。攻击者可以通过各种方式获得这些信息,包括:
- 凭证填充:凭证填充攻击会利用自动程序来自动地使用常见或被泄漏的密码列表来尝试登录用户帐户。这些攻击有可能会成功,因为许多用户帐户采用脆弱或重复使用的密码进行保护——这是一个非常常见的安全性问题。
- 网络钓鱼:用户凭证是网络钓鱼攻击的一个常见目标,这些攻击通常使用恶意链接将用户引导到一个虚假的服务登录页面,从而让攻击者能够收集到用户的登录凭证。
- 恶意软件:恶意软件对用户计算机进行感染后就可以通过各种方式窃取密码。这包括从浏览器或系统密码缓存中转储身份验证信息,或记录用户在帐户身份验证时的键盘输入。
- 应用程序漏洞:用户并非是唯一的在组织的系统和网络上拥有帐户的实体。应用程序也有帐户,那么攻击者可以利用这些帐户的漏洞来使用其访问权。
- 被盗的 cookie:储存在用户电脑上的 cookie 可以储存其登录会话的信息,从而允许不输入密码的情况下进行帐户访问。通过访问这些 cookie,攻击者可以接管用户的会话。
- 硬编码密码:应用程序通常需要访问各种在线帐户来履行其职责。有时,这些帐户的密码被存储在应用程序代码或配置文件中,因此可能会在 GitHub 上暴露或以其他方式泄露。
- 被破解的 API 密钥:API 密钥和其他身份验证令牌旨在允许应用程序通过 API 访问在线帐户和服务。如果这些密钥被意外上传到 GitHub 数据库或以其他方式泄露,那么就可以通过它们获得组织帐户的访问权。
- 网络流量嗅探:虽然大多数网络流量是加密的且安全的,但是有一些设备仍然会使用不安全的协议,如 Telnet。攻击者能够查看这种未加密的网络流量,从中提取登录凭证。
帐户盗用攻击的影响
帐户盗用攻击成功之后可以授予攻击者与合法帐户所有者相同的访问权和权限。通过这种访问权,攻击者可以实施各种行动,如:
- 数据盗窃:帐户盗用攻击可能导致泄露,并流出大量敏感、保密或受保护的数据,如信用卡号或个人可识别信息 (PII)。
- 恶意软件传送:帐户盗用攻击允许攻击者在企业系统上安装和执行勒索软件和其他恶意软件。
- 后续攻击:一旦攻击者获得合法帐户的访问权,他们就可以利用该访问权进行进一步攻击。有时,获取一个特定帐户的访问权仅仅是出于这个目的(如攻击者可能寄希望于用户在多个帐户中重复地使用了密码而窃取登录凭证)。
- 横向移动:遭到入侵的帐户可能会为攻击者提供一个进入其他安全网络的入口。以这个最初的起点出发,攻击者可能会跨越其他企业系统扩大访问范围或者提升权限,这个过程称为横向移动 。
- 财务收益:攻击者可能不会自己使用已被入侵的帐户,而是在暗网上出售对该帐户的访问权。
如何抵御帐户盗用攻击
企业可以采取多种措施来防止帐户被盗用,并尽量减少这些攻击的影响。
帐户盗用防护
深度防御是应对帐户接管攻击风险的最佳做法。帐户接管攻击通常是利用不良的帐户安全做法。公司可以落实一些防御措施来防止帐户接管攻击,包括:
- 强有力的密码政策:许多帐户盗用攻击利用了脆弱的和重复使用的密码。制定并实行一个强有力的密码政策——包括测试用户密码是否在泄漏中被暴露——可以使凭证填充和密码破解攻击更难执行。
- 网络钓鱼保护:网络钓鱼攻击是攻击者窃取用户密码的一种常见方式。通过过滤有风险的电子邮件或通过互联网过滤屏蔽恶意域名,组织将减少用户无意中泄露其证书的风险。
- 多因素身份验证 (MFA):MFA 使用多种因素对用户进行身份验证,如密码和由身份验证应用程序生成的一次性密码 (OTP) 的组合,或在密码之外还使用硬钥匙。在所有帐户上强制使用 MFA,让攻击者更难利用泄露的密码。
- 应用程序安全测试:API 中暴露的 API 密钥和身份验证令牌可以授予攻击者对组织在线帐户的访问权。强制实行强有力的身份验证实践并扫描应用程序代码和配置文件的身份验证材料可以防止这种情况。
- 登录和 API 安全性:凭证填充程序尝试许多不同的用户名和密码组合,试图猜出有效的登录凭证。登录和 API 安全性解决方案可以帮助识别和阻止这些攻击。
缓解帐户盗用攻击
帐户盗用防护对于控制帐户盗用攻击的风险很重要,但不一定总是有效的。例如,对用户个人电子邮件帐户的网络钓鱼攻击可能会泄露登录凭证,让攻击者能够登录到该用户的公司帐户。
除了上面列出的防护策略外,组织还可以采用以下方法将这些攻击造成的危害降到最低:
- 行为分析:在进入用户帐户后,攻击者很可能会从事异常活动,如流出大量敏感数据或部署恶意软件。在身份验证后对帐户的使用情况进行持续监控,可以使企业识别成功的帐户盗用攻击并进行应对。
- Zero Trust 安全性:一种默认拒绝的 Zero Trust 安全方法,让攻击者极难访问他们的目标应用程序或资源,即使他们掌握了已窃取的凭证也是如此。攻击者请求访问企业应用程序时需要经过身份、设备状态和其他环境信号的验证,然后才会被允许访问。组织采用严格细化的 Zero Trust 政策后可以检测到可疑的信号––如请求所在的地理环境异常或者提出请求的设备已被感染,并且能够拒绝攻击者的访问请求。
Cloudflare Zero Trust 让企业可以允许远程访问应用程序和系统,同时控制帐户接管攻击的风险。通过 Zero Trust 网络访问 (ZTNA),用户只有在经过身份、环境和对企业政策遵守情况的验证之后才会被允许访问特定资源。